#release #stix #yara #reporthub
Release Notes 2025-09
CTT Report Hub [ YARA extractor ]
Мы научились извлекать из тела отчета YARA-правила.
Добавлен в STIX в виде Indicator с pattern_type=yara, согласно спецификации STIX 2.1
При помощи LLM и рекомендаций по формированию и оценки YARA-правил от Florian Roth (https://github.com/Neo23x0/YARA-Style-Guide) мы автоматический оцениваем все правила по следующим критериям (все параметры оцениваются во шкале [0.0, 10.0]):
Также мы добавили ряд полей с описанием.
Учитывайте, что все оценки даны с использованием LLM, т.е. недетерминированным способом.
YARA-правила входят в состав STIX-бандла и при загрузке его в OpenCTI дополнительных настроек не требуется. Score Indicator в OpenCTI теперь учитывает
Release Notes 2025-09
CTT Report Hub [ YARA extractor ]
Мы научились извлекать из тела отчета YARA-правила.
Добавлен в STIX в виде Indicator с pattern_type=yara, согласно спецификации STIX 2.1
При помощи LLM и рекомендаций по формированию и оценки YARA-правил от Florian Roth (https://github.com/Neo23x0/YARA-Style-Guide) мы автоматический оцениваем все правила по следующим критериям (все параметры оцениваются во шкале [0.0, 10.0]):
detection_quality – качество детектирования конкретной малвари (см. рекомендации от Florian Roth)resilience – качество детектирования семейства малвариperformance – оптимальность реализации правила в части производительностиdocumentation – качество документированияtests – покрытие тестами, если эта информация присутствует.maintenance – насколько легко вносить в правило изменения.scope – соотношение покрытия и точности детектирования (1 – score = FP rate).complexity – оценка стиля кода в части удобочитаемости и ясности структуры. Также мы добавили ряд полей с описанием.
qa_notes – рекомендации по работе с правилом.qa_recommendations – рекомендации по улучшению кода правила.qa_score – консолидированная оценка правила, на основе описанных выше критериев.Учитывайте, что все оценки даны с использованием LLM, т.е. недетерминированным способом.
YARA-правила входят в состав STIX-бандла и при загрузке его в OpenCTI дополнительных настроек не требуется. Score Indicator в OpenCTI теперь учитывает
qa_score YARA-правила.#release #stix #reporthub
Release Notes 2025-09
CTT Report Hub [ CDE ]
Мы расшили функции CTT Report Hub модулем Customers Data Extraction (далее – CDE).
Модуль CDE позволяет создавать персонализированные методы анализа CTI-отчетов под каждого клиента. На данном этапе CDE позволяет проставить в STIX-бандле кастомный тег отчету, видимый только определенному клиенту, если в отчете были указаны:
1. Подсети клиента.
2. ASN клиента.
3. Домены, или URL содержат интересующие клиента подстроки (задаются регулярными выражениями).
4. Текст в Whois по доменам из отчета содержат интересующие клиента подстроки.
5. Текст отчета содержит содержат интересующие клиента подстроки.
Механизм CDE поможет подсветить в потоке те отчеты, в которых может содержаться информация, касающаяся конкретного клиента и оперативно среагировать на появившуюся в публичном доступе информацию о его инфраструктуре.
Release Notes 2025-09
CTT Report Hub [ CDE ]
Мы расшили функции CTT Report Hub модулем Customers Data Extraction (далее – CDE).
Модуль CDE позволяет создавать персонализированные методы анализа CTI-отчетов под каждого клиента. На данном этапе CDE позволяет проставить в STIX-бандле кастомный тег отчету, видимый только определенному клиенту, если в отчете были указаны:
1. Подсети клиента.
2. ASN клиента.
3. Домены, или URL содержат интересующие клиента подстроки (задаются регулярными выражениями).
4. Текст в Whois по доменам из отчета содержат интересующие клиента подстроки.
5. Текст отчета содержит содержат интересующие клиента подстроки.
Механизм CDE поможет подсветить в потоке те отчеты, в которых может содержаться информация, касающаяся конкретного клиента и оперативно среагировать на появившуюся в публичном доступе информацию о его инфраструктуре.
openapi_ioclookup_v2.json
33.9 KB
#release #stix #ioclookup
Release Notes 2025-09
CTT IOC Lookup [ preview v2 ]
Мы обновили механизм поиска IOC по нашей базе.
На данный момент новый IOC Lookup доступен в режиме preview в отельном API-endpoint. Прозрачное переключение всех клиентов на новую версию пройдет 30 сентября. Каких-то дополнительных действий на стороне клиента производить не потребуется.
В новой версии доступно несколько механизмов поиска:
1. Inline search – поиск записей по одному IOC
2. Queued search – запланированный поиск, при котором задача поиск ставится в FIFO-очередь
Inline search предназначен для быстрого поиска данных по IOC на небольшую глубину по времени. На данный момент это 365 дней.
Queued search предназначен для выполнения поиска на глубину в 5 лет и последовательного извлечения всех записей по IOC.
Inline search и Queued search имеют следующие функции:
1. Если производится поиск по URL, извлечение домена из URL и дополнительный поиск IOC по домену. При этом в ответ будут включены результаты поиска как по URL, так и домену в формате JSON Lines (JSONL). Если же выбран формат CSV, тогда ответ будет представлен в формате <Заголовок с полями домена> \n <Строка> \n <Заголовок с полями URL> \n <Строка>
2. Также в механизме поиска имеется флаг, позволяющий искать URL без учета его параметров.
3. Ответ от сервиса может быть представлен как в формате JSON, так и CSV
В Inline search также, как и в Queued search реализован параметр, отвечающий за работу с историческими данными. В случае с Inline search данный параметр объединяет первые 100 записей по найденному IOC в одну запись. По умолчанию данный параметр не активен и в ответ включается лишь самая последняя (новая) запись по IOC.
Работа Queued search отличается от Inline search. Queued search получив IOC для поиска создает задачу и возвращает в ответе ее ID. В рамках данного ответа также можно узнать каков порядковый номер вашей задачи в общей очереди.
Для получения актуального статуса задачи реализован отдельный endpoint API.
Как только задача будет завершена, результат ее выполнения будет доступен по ее ID.
В Queued search параметр, отвечающий за работу с историческими данными, работает иначе чем в Inline search. Если он определен в запросе, то в ответе будут все записи по IOC на глубину в 5 лет в формате JSONL
Release Notes 2025-09
CTT IOC Lookup [ preview v2 ]
Мы обновили механизм поиска IOC по нашей базе.
На данный момент новый IOC Lookup доступен в режиме preview в отельном API-endpoint. Прозрачное переключение всех клиентов на новую версию пройдет 30 сентября. Каких-то дополнительных действий на стороне клиента производить не потребуется.
В новой версии доступно несколько механизмов поиска:
1. Inline search – поиск записей по одному IOC
2. Queued search – запланированный поиск, при котором задача поиск ставится в FIFO-очередь
Inline search предназначен для быстрого поиска данных по IOC на небольшую глубину по времени. На данный момент это 365 дней.
Queued search предназначен для выполнения поиска на глубину в 5 лет и последовательного извлечения всех записей по IOC.
Inline search и Queued search имеют следующие функции:
1. Если производится поиск по URL, извлечение домена из URL и дополнительный поиск IOC по домену. При этом в ответ будут включены результаты поиска как по URL, так и домену в формате JSON Lines (JSONL). Если же выбран формат CSV, тогда ответ будет представлен в формате <Заголовок с полями домена> \n <Строка> \n <Заголовок с полями URL> \n <Строка>
2. Также в механизме поиска имеется флаг, позволяющий искать URL без учета его параметров.
3. Ответ от сервиса может быть представлен как в формате JSON, так и CSV
В Inline search также, как и в Queued search реализован параметр, отвечающий за работу с историческими данными. В случае с Inline search данный параметр объединяет первые 100 записей по найденному IOC в одну запись. По умолчанию данный параметр не активен и в ответ включается лишь самая последняя (новая) запись по IOC.
Работа Queued search отличается от Inline search. Queued search получив IOC для поиска создает задачу и возвращает в ответе ее ID. В рамках данного ответа также можно узнать каков порядковый номер вашей задачи в общей очереди.
Для получения актуального статуса задачи реализован отдельный endpoint API.
Как только задача будет завершена, результат ее выполнения будет доступен по ее ID.
В Queued search параметр, отвечающий за работу с историческими данными, работает иначе чем в Inline search. Если он определен в запросе, то в ответе будут все записи по IOC на глубину в 5 лет в формате JSONL
#release #stix #reporthub
Release Notes 2025-09
CTT Report Hub [ STIX SDO relationships ]
В механизмах семантического анализа CTI-отчетов были добавлены улучшения в части детектирования связей между объектами STIX SDO:
Malware – Malware
- Улучшено определение связей:
Malware – Tool
- Улучшено определение связей:
Release Notes 2025-09
CTT Report Hub [ STIX SDO relationships ]
В механизмах семантического анализа CTI-отчетов были добавлены улучшения в части детектирования связей между объектами STIX SDO:
Malware – Malware
- Улучшено определение связей:
downloads, variant-ofMalware – Tool
- Улучшено определение связей:
dropsВсем привет.
Сегодня в 18:00 по МСК API IOC Lookup будет переключен на новую версию.
Сегодня в 18:00 по МСК API IOC Lookup будет переключен на новую версию.
Весь стек сервисов CTT CTI теперь начал работать в решениях Innostage.
Особенно классно получилось реализовать нашу интеграцию в AI-ассистенте Innostage Carmina AI.
https://safe.cnews.ru/news/line/2025-10-21_innostage_i_tehnologii_kiberugroz
Особенно классно получилось реализовать нашу интеграцию в AI-ассистенте Innostage Carmina AI.
https://safe.cnews.ru/news/line/2025-10-21_innostage_i_tehnologii_kiberugroz
CNews.ru
Innostage и «Технологии киберугроз» объявили о сотрудничестве в целях противодействия угрозам информационной безопасности - CNews
В рамках сотрудничества вся линейка сервисов Threat Intelligence компании «Технологии киберугроз» интегрирована в собственные...
Наш ранее перенесённый вебминар 30 октября 11:00 (МСК)
Приходите
Совместный вебинар Security Vision и «Технологии киберугроз» «Threat Intelligence: от теории к практике. Интеграция фидов данных для эффективной защиты»
Приходите
Совместный вебинар Security Vision и «Технологии киберугроз» «Threat Intelligence: от теории к практике. Интеграция фидов данных для эффективной защиты»
SecurityVision.ru
Совместный вебинар Security Vision и «Технологии киберугроз» «Threat Intelligence: от теории к практике. Интеграция фидов данных…
Xотите мгновенно выявлять и блокировать даже самые сложные и замаскированные угрозы? Security Vision и RST Cloud…
Forwarded from Юля
Открой занавес реального мира киберразведки!
3 декабря в Москве состоится закрытое мероприятие Innostage и CyberThreatTech — CyberWarRoom.
В программе:
🔙 Практический опыт применения AI в SOC;
🔙 Путь от идеи к внедрению: развитие продукта Cardinal iTDIR;
🔙 Инструменты: какую ценность в управлении ИБ дают сервисы Threat Intelligence;
🔙 Кейс: как работает Cardinal iTDIR внутри Innostage SOC CyberArt.
Модератор:
🎤 Лев Палей, эксперт в ИБ, MBA, CISO
Спикеры:
🗣 Анна Олейникова, директор по продуктовому развитию Innostage
🗣 Игорь Залевский, руководитель департамента результативной кибербезопасности Innostage
🗣 Николай Арефьев, основатель и СЕО CyberThreatTech
🔴 3 декабря 2025, 15:00
🔴 г. Москва, Докучаев переулок, д. 2, стр. 3, конференц-зал & Лофт by ВОЛГА
Регистрируйся!
Регистрация обязательная и бесплатная, открыта до 1 декабря
3 декабря в Москве состоится закрытое мероприятие Innostage и CyberThreatTech — CyberWarRoom.
В программе:
Модератор:
Спикеры:
Регистрируйся!
Регистрация обязательная и бесплатная, открыта до 1 декабря
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆1🫡1😎1
FYI
Filigran and RST Cloud partner on Unified Threat Intelligence
https://filigran.io/filigran-and-rst-cloud-partner-on-unified-threat-intelligence/
Filigran and RST Cloud partner on Unified Threat Intelligence
https://filigran.io/filigran-and-rst-cloud-partner-on-unified-threat-intelligence/
Приходите, чтобы узнать:
Please open Telegram to view this post
VIEW IN TELEGRAM
#анонсы
В первом полугодии мы, наконец-таки, будем готовы показать вам весь стек наших решений поставки отчуждаемых (именно отчуждаемых, данные навсегда остаются у вас, никаких порталов) CTI-знаний трех уровней: технический, тактический, операционный.
Как говорят у нас в деревне: "стэй тюн".
В первом полугодии мы, наконец-таки, будем готовы показать вам весь стек наших решений поставки отчуждаемых (именно отчуждаемых, данные навсегда остаются у вас, никаких порталов) CTI-знаний трех уровней: технический, тактический, операционный.
Как говорят у нас в деревне: "стэй тюн".
🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
#ctt #incidenthub
Всем привет.
Весна на нас тоже влияет 😊
Запускаем закрытый тест сервиса CTT Incident Hub.
Коротко о сервисе:
1. Собирает новости о взломах/утечках со всего мира (перевод на RU|EN).
2. Извлекает информацию об атакованной компании и собирает по ней:
- отрасли, в которых работает атакованная компания;
- страны, где она работает;
- кол-во персонала;
- TAX-номер и Ticker-номер, если торгуется на бирже.
3. Извлекает название атакующего и маппиn на нашу базу профилей киберугроз - CTT Threat KB (официально запускаем в конце марта).
4. Из текста извлекаются последствия атаки.
5. Отдельно, при помощи LLM (текста новости и профиля атакованной компании и такой-то матери) генерируем описание потенциального ущерба.
6. Ущерб сопоставляется с нашим бизнес и тех. категоризатором.
7. Исходя из собранных данных определяется уровень ущерба от инцидента по 4х бальной шкале (Severity Impact).
8. Отдаем данные в STIX и JSON
9. Коннектор для OpenCTI (т.к. референсная платформа).
Всем привет.
Весна на нас тоже влияет 😊
Запускаем закрытый тест сервиса CTT Incident Hub.
Коротко о сервисе:
1. Собирает новости о взломах/утечках со всего мира (перевод на RU|EN).
2. Извлекает информацию об атакованной компании и собирает по ней:
- отрасли, в которых работает атакованная компания;
- страны, где она работает;
- кол-во персонала;
- TAX-номер и Ticker-номер, если торгуется на бирже.
3. Извлекает название атакующего и маппиn на нашу базу профилей киберугроз - CTT Threat KB (официально запускаем в конце марта).
4. Из текста извлекаются последствия атаки.
5. Отдельно, при помощи LLM (текста новости и профиля атакованной компании и такой-то матери) генерируем описание потенциального ущерба.
6. Ущерб сопоставляется с нашим бизнес и тех. категоризатором.
7. Исходя из собранных данных определяется уровень ущерба от инцидента по 4х бальной шкале (Severity Impact).
8. Отдаем данные в STIX и JSON
9. Коннектор для OpenCTI (т.к. референсная платформа).
R-Vision и CyberThreatTech объявили о технологическом партнёрстве
https://www.cnews.ru/news/line/2026-03-24_r-vision_i_cyberthreattech_obyavili
https://www.cnews.ru/news/line/2026-03-24_r-vision_i_cyberthreattech_obyavili
#release #stix #reporthub
Release Notes 2026-03
CTT Report Hub
Добавили извлечение из отчетов ID вредоносных расширений браузера.
- В нашем JSON - это узел
- В STIX - это индикаторы с тегами:
CTT Incident Hub
Добавили источник ransomware\.live, как поставщика атакованных компаний.
Идут работы по механизму отслеживания обязательной отчетности об атаках на публичные компании, акции которых торгуются на бирже.
Release Notes 2026-03
CTT Report Hub
Добавили извлечение из отчетов ID вредоносных расширений браузера.
- В нашем JSON - это узел
browserextension- В STIX - это индикаторы с тегами:
chrome-extension , bad-chrome-extensionCTT Incident Hub
Добавили источник ransomware\.live, как поставщика атакованных компаний.
Идут работы по механизму отслеживания обязательной отчетности об атаках на публичные компании, акции которых торгуются на бирже.
👍3
#release #stix #threatkb #incidenthub
Release Notes 2026-04
CTT ThreatKB v2
Запустили ThreatKB v2
Теперь она умеет:
- Отдавать описание профилей угроз на русском и английском.
- Отдавать в формате Markdown.
- Экспортировать все содержимое нашей БД угроз.
- Экспортировать начиная с выбранной даты. Т.е. получать все изменения профилей.
- Swagger по запросу.
- Готов коннектор для OpenCTI.
- ? Работы над публикацией через TAXII еще идут.
Извлечение идентификаторов угроз
Генерация краткого описания угроз
STIX-экспорт за указанную дату
STIX-экспорт постранично (cursor)
CTT Incident Hub
- Добавлено отслеживание отчетности по форме 8-K (item 1.05, 8.01) для компаний в США.
- Добавлено прямое отслеживание отчетности о киберинцидентах для компаний, зарегистрированных в:
- Калифорнии,
- Техасе,
- штате Мэн.
Release Notes 2026-04
CTT ThreatKB v2
Запустили ThreatKB v2
Теперь она умеет:
- Отдавать описание профилей угроз на русском и английском.
- Отдавать в формате Markdown.
- Экспортировать все содержимое нашей БД угроз.
- Экспортировать начиная с выбранной даты. Т.е. получать все изменения профилей.
- Swagger по запросу.
- Готов коннектор для OpenCTI.
- ? Работы над публикацией через TAXII еще идут.
Извлечение идентификаторов угроз
/v1/kb/threat/ids/extract/v2/threatkb/threat/extractГенерация краткого описания угроз
/v1/kb/threat/summary/show/v2/threatkb/threat/showSTIX-экспорт за указанную дату
/v2/threatkb/exportSTIX-экспорт постранично (cursor)
/v2/threatkb/export/scrollCTT Incident Hub
- Добавлено отслеживание отчетности по форме 8-K (item 1.05, 8.01) для компаний в США.
- Добавлено прямое отслеживание отчетности о киберинцидентах для компаний, зарегистрированных в:
- Калифорнии,
- Техасе,
- штате Мэн.
#release #stix #incidenthub
Release Notes 2026-05
CTT Incident Hub
Расширили список отслеживаемых ресурсов.
Теперь напрямую собираем инциденты и по европейским компаниям.
На данный момент список источников такой:
1. bleepingcomputer.com
2. abcnews.com
3. thehackernews.com
4. darkreading.com
5. cybersecuritynews.com
6. bloomberg.com
7. ransomware.live
8. sec.gov
9. oag.ca.gov
10. oag.my.site.com
11. maine.gov
12. eurepoc.eu
Release Notes 2026-05
CTT Incident Hub
Расширили список отслеживаемых ресурсов.
Теперь напрямую собираем инциденты и по европейским компаниям.
На данный момент список источников такой:
1. bleepingcomputer.com
2. abcnews.com
3. thehackernews.com
4. darkreading.com
5. cybersecuritynews.com
6. bloomberg.com
7. ransomware.live
8. sec.gov
9. oag.ca.gov
10. oag.my.site.com
11. maine.gov
12. eurepoc.eu
🔥1
Forwarded from CTT Report Hub
Мы, вместе с INSECA проводим уже 5 митап для CTI-аналитиков.
Мест осталось совсем мало, спешите зарегаться.
Мест осталось совсем мало, спешите зарегаться.
Forwarded from Polina Syresenkova
Всем привет 👋.
Инсека и Технологии киберугроз приглашают вас на CTI meetup #5.
🍻 обсуждаем рабочие моменты, делимся опытом
📆 23 мая, 14:00-20:00
📍 Место: Лофт «Москва» по адресу Москва, Берсеневская набережная, 6с3
Программа CTI meetup #5:
Сбор гостей 13:30-14:00
Начало выступлений 14:00
1. Threat Hunting в опенсорсе: злоумышленники используют ИИ, мы тоже, но есть нюанс
Раковский Станислав (руководитель группы Supply Chain Security в Positive Technologies)
2. Хватит «приручать фиды»: что реально работает в телекоме
Елютин Павел (руководитель направления анализа киберугроз, Билайн)
Снежков Александр (эксперт по анализу киберугроз, Билайн)
3. Докладчик уточняется
🍻 Кофе-брейк 15:30-16:00
4. Практический CTI 2.0: добро пожаловать в Cyberpunk. Ну почти.
Мешков Андрей (независимый эксперт)
5. Квиз
✌️17:00-20:00 С вас общение, с нас пиво.
Мы рады будем видеть всех желающих, но к сожалению, количество мест ограничено размерами помещения.
👉🏼 Зарегистрироваться
Инсека и Технологии киберугроз приглашают вас на CTI meetup #5.
🍻 обсуждаем рабочие моменты, делимся опытом
📆 23 мая, 14:00-20:00
📍 Место: Лофт «Москва» по адресу Москва, Берсеневская набережная, 6с3
Программа CTI meetup #5:
Сбор гостей 13:30-14:00
Начало выступлений 14:00
1. Threat Hunting в опенсорсе: злоумышленники используют ИИ, мы тоже, но есть нюанс
Раковский Станислав (руководитель группы Supply Chain Security в Positive Technologies)
2. Хватит «приручать фиды»: что реально работает в телекоме
Елютин Павел (руководитель направления анализа киберугроз, Билайн)
Снежков Александр (эксперт по анализу киберугроз, Билайн)
3. Докладчик уточняется
🍻 Кофе-брейк 15:30-16:00
4. Практический CTI 2.0: добро пожаловать в Cyberpunk. Ну почти.
Мешков Андрей (независимый эксперт)
5. Квиз
✌️17:00-20:00 С вас общение, с нас пиво.
Мы рады будем видеть всех желающих, но к сожалению, количество мест ограничено размерами помещения.
👉🏼 Зарегистрироваться